Горячие кошельки остаются одним из самых уязвимых мест криптобирж. По данным сервиса Atlas VPN, в 2012-2020 годах 87 платформ лишились $4,8 млрд в результате хакерских атак.Чтобы защитить средства пользователей, некоторые биржи хранят их только офлайн. Одна из таких площадок — Phemex. Рассказываем о системе безопасности и холодных кошельках этой торговой платформы. Коротко о Phemex Phemex — сингапурская криптобиржа, которую основали восемь бывших сотрудников банка Morgan Stanley. В марте 2020 года Phemex привлекла $3,5 млн в ходе раунда финансирования Серии А при оценке в $50 млн. Платформа работает с 2019 года и поддерживает 37 криптоактивов. Пользователям доступны фьючерсные контракты с кредитным плечом до 100х. На момент публикации статьи на бирже зарегистрировалось 2 млн человек. Торговый движок Phemex может обрабатывать до 300 000 транзакций в секунду. Он состоит из двух модулей: CrossEngine и TradingEngine. Первый упорядочивает ордера в зависимости от приоритета по времени и цены, а второй принимает запросы на размещение ордеров пользователей.Криптобиржа работает в соответствии со стандартом информационной безопасности ISO/IEC 17799 и сотрудничает с аудиторской компанией SlowMist. Для защиты от внешних атак биржа использует систему Amazon Web Services Cloud Security. Разница между холодными и горячими кошельками Большинство криптобирж использует два типа кошельков: горячие (онлайн) и холодные (офлайн). Горячие кошельки постоянно подключены к интернету, и поэтому уязвимы для хакерских атак. Однако они позволяют биржам быстрее обрабатывать запросы пользователей на вывод средств. Холодные кошельки не имеют доступа к интернету. Это защищает их от взлома, но в то же время замедляет вывод криптовалют с биржи. Крупные биржи переводят большую часть цифровых активов на холодные кошельки. Например, Bitstamp хранит офлайн 98% средств клиентов, а Kraken — 95%. Phemex разработала собственную систему иерархически детерминированных (hierarchical deterministic, HD) холодных кошельков, которая позволяет хранить 100% средств пользователей офлайн. Как работают холодные кошельки Phemex Каждый пользователь биржи получает отдельный депозитный адрес. Периодически Phemex консолидирует отдельные депозиты на одном холодном кошельке. Сотрудники платформы подтверждают внутренние переводы и выводы с биржи с помощью офлайн-подписей. Для таких операций нужно два компьютера: первый не имеет доступа к интернету и хранит закрытые ключи для подписи транзакций;второй подключен к интернету и транслирует транзакцию в блокчейн. Сотрудники Phemex подписывают транзакции на офлайн-компьютере, а затем переносят их на онлайн-компьютер с помощью USB-носителя. После этого онлайн-компьютер транслирует транзакции в блокчейн. Криптобиржа обрабатывает запросы на вывод средств три раза в сутки. Персонал биржи проверяет заявки и подтверждает их офлайн-подписями. Выводы В марте 2012 года хакеры украли 18 500 BTC с горячего кошелька платформы Bitcoinica. С тех пор мало что изменилось: в 2019 году злоумышленники взломали Binance и Upbit, в 2020 году — KuCoin и EXMO, а в 2021 году Liquid и Bilaxy. Phemex обеспечивает сохранность пользовательских активов: биржа хранит все средства на холодных кошельках. У такого подхода есть минус: клиенты вынуждены ждать, пока платформа обработает заявки на вывод средств офлайн. Однако это небольшая цена за стопроцентную уверенность, что хакеры не получат доступ к цифровым активам на бирже. Подписывайтесь на канал ForkLog в YouTube!